Hệ thống rút tiền của nền tảng crypto casino MetaWin đã bị hacker tấn công, dẫn đến thiệt hại khoảng 4 triệu USD tài sản.
Theo thông báo từ CEO MetaWin, vào ngày 03/11, hệ thống rút tiền của nền tảng crypto casino này đã bị hacker tấn công, gây thất thoát khoảng 4 triệu USD tài sản.
Cụ thể, hacker đã khai thác lỗ hổng trong hệ thống frictionless withdrawal system của MetaWin. Được thiết kế với mục đích tối ưu trải nghiệm người dùng, cơ chế này cho phép rút tiền nhanh chóng với ít bước xác minh. Nhưng cũng chính sự tiện lợi này lại vô tình biến thành “gót chân Achilles”, tạo kẽ hở cho hacker xâm nhập vào hệ thống, chiếm quyền kiểm soát các giao dịch rút tiền từ ví nóng trên cả hai blockchain Ethereum và Solana.
“Thám tử on-chain” ZachXBT ngay sau đó đã lần theo dấu vết số tiền bị đánh cắp, phát hiện hacker đã chuyển chúng sang sàn giao dịch KuCoin và dịch vụ nested trên HitBTC để tiến hành rửa tiền, ZachXBT cũng xác định được hơn 115 địa chỉ ví có liên quan đến vụ tấn công.
Ngay khi phát hiện sự cố, MetaWin đã lập tức tạm dừng toàn bộ các giao dịch rút tiền để đảm bảo an toàn cho hệ thống. Tại thời điểm viết bài, CEO Richard “Skel” Skelhorn cho biết dịch vụ rút tiền hiện đã được khôi phục cho 95% khách hàng. Đáng chú ý, Skelhorn còn tuyên bố tự bỏ tiền túi để bù đắp thiệt hại cho các ví bị ảnh hưởng. Hiện tại, các cơ quan chức năng cũng đã vào cuộc để điều tra làm rõ vụ việc.
Người dùng @anonhunts trên X đã sử dụng công cụ AnonMaps để “soi” ví đầu tiên trong danh sách của ZachXBT và kết quả cho thấy mức độ bảo mật danh tính của ví này chỉ đạt 0,76/10. Điều này đồng nghĩa với việc cơ quan điều tra có thể truy vết và xác định danh tính của hacker dễ dàng hơn.
Tuy nhiên, vụ hack này phần nào đã “bóc mẽ” rằng MetaWin thực chất không hoàn toàn on-chain mà chỉ đơn thuần sử dụng crypto làm phương thức thanh toán. Thay vì trao quyền kiểm soát tài sản cho người chơi, MetaWin hoạt động giống như một ngân hàng truyền thống, nơi nền tảng nắm giữ tiền của người dùng và cấp tín dụng trong game. Mọi kết quả trên MetaWin không được công khai hoặc kiểm chứng trên hợp đồng thông minh khiến casino dễ dàng thao túng kết quả theo ý muốn để tăng lợi nhuận và gây bất lợi cho người chơi.
Vụ hack MetaWin chỉ là một trong số rất nhiều vụ tấn công mạng nghiêm trọng trong thời gian gần đây. Trước đó, vào ngày 16/10, nền tảng lending Radiant Capital đã bị “móc túi” tới 51 triệu USD trên BNB Chain và Arbitrum. Chỉ hơn hai tuần sau, vào ngày 31/10, sàn giao dịch M2 Exchange cũng trở thành nạn nhân của một cuộc tấn công vào ví nóng, khiến sàn thiệt hại khoảng 13,7 triệu USD. Thống kê cho thấy lĩnh vực crypto đã mất tới 423,9 triệu USD chỉ trong Q3/2024 do các vụ hack và lừa đảo, trong đó 45% tổng số tiền đến từ vụ hack sàn WazirX.